Pasar al contenido principal

Los ciberdelincuentes se harán pasar por rastreadores de contactos para robar datos o engañar a sus víctimas para que hagan cuarentena, según alertan varios expertos

Un desarrollador de software de SAP muestra el estado de la app oficial del Gobierno alemán para rastrear contactos sospechosos de COVID-19
Un desarrollador de software de SAP muestra el estado de la app oficial del Gobierno alemán para rastrear contactos sospechosos de COVID-19. REUTERS/Kai Pfaffenbach
  • La pandemia de coronavirus ha disparado los intentos de estafa con phising hasta un 30.000%, según algunas firmas de ciberseguridad.
  • Varios expertos españoles consultados por Business Insider España creen que pronto se verán casos de estafadores haciéndose pasar por rastreadores de contactos.
  • Desde engañar y obligar a hacer cuarentena a empresas de la competencia hasta amenazar con filtrar presuntos contagios: estos son las aristas que aprovecharán los ciberdelincuentes.
  • Descubre más historias en Business Insider España.

La desescalada en toda Europa ha puesto de moda un término: el rastreo de contactos. Se trata de una actividad por la que los casos positivos de coronavirus tienen que enumerar a los rastreadores cuáles han sido sus "contactos estrechos" en las últimas semanas con el fin de cortar de forma precoz nuevas cadenas de contagios.

El problema es que nadie sabe cómo distinguir a un rastreador de un posible estafador.

Este lunes, el Gobierno británico organizó un nuevo briefing en el que los expertos del Ejecutivo de Boris Johnson aclaraban todas las dudas que les planteasen diversos ciudadanos relacionadas con el coronavirus.

John, un vecino de Gloucester, preguntó: "Si recibo una llamada de alguien que dice que es un rastreador diciéndome que haga cuarentena, ¿cómo puedo confirmar que es una llamada auténtica?".

Reino Unido defiende que los rastreadores profesionales lo 'parecerán' 

La subdirectora de la Oficina Médica de Inglaterra, Jenny Harries, apuntó lo siguiente: "Es altamente improbable que, con toda la seguridad que tenemos en las bases de datos, alguien pueda contactar inapropiadamente con un ciudadano".

"Pero creo que es muy evidente que, si alguien te llama por teléfono, será un grupo de profesionales clínicos que velan por tu seguridad", advirtió.

En este sentido, los profesionales españoles del rastreo lo tienen claro. Manuel Galán, jefe de los rastreadores cántabros, incidía hace semanas en Business Insider España que los ciudadanos que reciban una llamada de estos detectives del coronavirus tienen que "entender" que este es un colectivo que está ahí "para ayudar". "Tenemos muy poco tiempo para ganarnos su confianza".

Leer más: El Gobierno también tendrá que convencer a los turistas para que instalen la app de rastreo contra el coronavirus si vienen de países con aplicaciones incompatibles

Lo cierto es que ninguna autoridad ha respondido a la pregunta de John, el vecino de Gloucester. Graham Cluley, un analista y bloguero popular en el sector británico de la ciberseguridad, vaticina en su blog que en Reino Unido aparecerán estafadores y ciberdelincuentes que, mediante técnicas de phising, intentarán engañar a sus víctimas usando el rastreo de contactos como cebo.

"El Servicio de Salud británico ofrece algunos consejos, como que el servicio de rastreo no te preguntará por ningún dato bancario ni por ninguna cuenta en línea, contraseña o PIN telefónico", reconoce Cluley. Pero, "para los delincuentes, es fácil suplantar la identidad mediante un SMS o hacer pasar una llamada telefónica por genuina".

"Los estafadores usarán el Servicio de Salud británico como cebo para robar información de los ciudadanos a través de llamadas, correos o SMS. Tratarán de irrumpir en las vidas de los demás, intentando engañar a tu competencia para que se quede en casa en cuarentena. Expertos en seguridad informática alertarán de estos peligros pero serán ignorados", subraya el experto.

En España todavía no hay casos, pero la amenaza es inminente

Usuaria de la app de rastreo en el Reino Unido.
Usuaria de la app de rastreo en el Reino Unido. REUTERS/Isla Binnie

En España no se han registrado casos, explica Eusebio Nieva, director técnico para España y Portugal de Check Point, una firma de ciberseguridad. Business Insider España ha hablado con él y con otros expertos, y todos coinciden en lo mismo: en las próximas semanas se verán intentos de phising suplantando la identidad de profesionales sanitarios.

"No cabe duda de que los cibercriminales son expertos en aprovechar los grandes acontecimientos o focos informativos para lanzar ciberataques", recuerda Nieva. "En esta ocasión, hay una temática de interés común, mundial. Por tanto, no es de extrañar que, en las próximas semanas, veamos intentos de phising suplantando la identidad de profesionales del ámbito sanitario que están trabajando en el seguimiento de pacientes de COVID-19".

Leer más: La app de rastreo de contactos de coronavirus en Reino Unido se retrasa semanas: en qué se está fallando y qué lecciones puede aprender España

"Es posible que si, no está ocurriendo ya, pueda suceder próximamente. Hay que destacar el hecho de que el uso de la pandemia y la suplantación de identidad de grandes instituciones y organismos como la OMS o la ONU ha aumentado un 30% en las últimas semanas", recuerda Nieva. Otras compañías, como Zscaler, cifran en un 30.000% el aumento de casos de phising.

Lucas Ariel Paz es consultor de ciberseguridad en Vector ITC, y también recuerda que el uso de internet ha aumentado durante la pandemia, lo que apareja "una mayor exposición y mayor rango horario de actividad en la web además de usuarios desprevenidos frente al accionar de cibercriminales".

"El mundo tiene un antes y un después a partir del COVID-19. Muchas empresas y usuarios se han adaptado de una manera muy nativa y otros están en proceso. Pero estos cambios y tipos de ciberataques llegan para quedarse, y mutarán según el ecosistema en el cuál interactúen". "Nunca tenemos que perder de vista que uno de los eslabones más débiles dentro de la cadena de la seguridad es el usuario", remacha.

Los hackers no solo emplearán como cebo el rastreo de contactos estrechos: en los próximos meses también aparecerán apps de rastreo que simularán ser las oficiales, cuando en realidad serán apps falsas que buscarán acceder a los datos de los usuarios.

David Purón, consejero delegado de Barbara IoT, una compañía especializada en ciberseguridad para el internet de las cosas, va más allá: "El rastreo de contactos podrá ser aprovechado por los cibercriminales para extorsionar al sujeto con su presunta localización, y solicitándole el pago de dinero para evitar futuras acciones".

"Si ese fuera el caso, se deberá denunciar inmediatamente a la policía y no realizar ningún pago, ya que normalmente esas amenazas carecen de fundamento real". En el caso de España, la app que ayudará al rastreo de contactos ni siquiera funcionará por geolocalización: solo lo hará con tecnología Bluetooth.

"Los delincuentes siempre buscan nuevas maneras de actuar"

Purón insiste: "Para evitar el robo e intentos de fraude, el usuario deberá asegurarse de que las apps descargadas en su móvil son las desarrolladas por empresas reconocidas y que proceden de fuentes confiables como Google Play o la App Store". En este sentido, la app de rastreo que se pondrá en marcha con un piloto en Canarias a mediados de mes está siendo desarrollada ya por la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Leer más: España intenta que su app de rastreo contra el coronavirus sea compatible con la del resto de Europa: qué diferencia a Reino Unido y Francia del modelo de Alemania, Austria o Italia

Nicolás Marchal es abogado, criminólogo y el director del Máster en Ciberinteligencia de la Universidad de Nebrija (Madrid). "El problema es doble. Por un lado, esa información podría ser utilizada para más aspectos, no solo para prevenir contagios de coronavirus. El segundo punto es que, debido al miedo que hay al COVID-19, mucha gente se instala aplicaciones o ceden sus datos a entidades que simulan ser las oficiales... pero no lo son", explica.

En este marco, se agrava una circunstancia: muchos ministerios están desprotegidos frente al fenómeno del spoofing —la suplantación de la identidad de correos electrónicos—. Según Fernando Anaya, responsable del desarrollo de negocio de Proofpoint para España y Portugal, "los atacantes saben que los usuarios están accediendo a estos dominios y pueden aprovecharse de su credibilidad para lanzar sus amenazas".

Por eso Marchal emplea su faceta como criminólogo para recordar algo: "Dicen que la delincuencia en la calle ha disminuido como consecuencia del confinamiento. Pero la delincuencia es un factor constante en todas las sociedades y, si no puede actuar de la forma habitual, encontrará otras maneras".

Y además